DatenschutzWoche vom 15. 05. 2023

Bundesregierung: Neue Gesetze zur Nutzung von Forschungs- und Gesundheitsdaten

Mit gleich drei neuen Gesetzen will die Bundesregierung in der laufenden Legislaturperiode die wissenschaftliche Nutzung von Daten verbessern und die rechtlichen Voraussetzungen für eine datengetriebene Forschung schaffen. Die neuen gesetzlichen Rahmenbedingungen betreffen den Datenzugang, die Datenaufbereitung und die Datenweitergabe. Dies geht aus der Antwort der Bundesregierung auf eine Kleine Anfrage der CDU/CSU-Fraktion hervor.

Auch die Pflichten zur Datensicherung sollen überarbeitet werden. Ziel ist ein ausgewogener, auf die Potenziale der gemeinsamen Datennutzung ausgerichteter, kohärenter Rechtsrahmen. Diese neuen Gesetze sind geplant:

• Gesundheitsdatennutzungsgesetz: Ziel des Gesetzes, das eng mit der geplanten Verordnung für einen Europäischen Gesundheitsdatenraum abgestimmt werden soll, ist eine sektorspezifische Regelung für die Nutzung von Gesundheitsdaten. Der Gesetzentwurf soll in Kürze vorgelegt werden.
• Registergesetz: Ziel des Gesetzes ist es, die Nutzbarkeit und den Zugang zu vorhandenen medizinischen Registerdaten für Forschung und Versorgung zu verbessern. Ein Entwurf soll bis Herbst 2023 vorliegen.
• Forschungsdatengesetz: Die konzeptionellen Arbeiten sind im Gange. Daher ist noch unklar, welche Forschungsklauseln in das geplante Gesetz aufgenommen werden. Derzeit werden die Rückmeldungen der Anspruchsgruppen ausgewertet.

Datenschutzaufsicht NRW: Musterschreiben zu Google Workspace veröffentlicht

Die Datenschutzaufsichtsbehörde Nordrhein-Westfalen veröffentlichte kürzlich ein Musterschreiben (Stand September 2021) zur Beantwortung der Frage, ob der Einsatz von Google Workspace aus datenschutzrechtlicher Sicht vertretbar ist. Darin wird deutlich, dass die Behörde erhebliche Bedenken hat.

So bestehen Zweifel, dass Google ausschließlich als Auftragsverarbeiter agiert, und nicht auch Kundendaten zu eigenen Zwecken verarbeitet. Sollte dies zutreffen, könnte eine gemeinsame Verantwortlichkeit vorliegen, die besondere Anforderungen an die Verantwortlichen stellt.

Darüber hinaus sieht die Behörde auch die Datenübermittlung in die USA kritisch. Ein Einsatz von Google Workspace darf nach Auffassung der Behörde nur erfolgen, wenn der Verantwortliche nachweisen kann, dass alle datenschutzrechtlichen Vorgaben eingehalten werden.

Eine umfassende Prüfung von Google Workspace wurde allerdings nicht vorgenommen; die Behörde betont, sie sei „[…] weder eine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte, noch eine Zertifizierungsstelle […]“.

Internationale Nachrichten

• Europa: Das EU-Parlament hat eine unverbindliche Resolution zum EU-U.S. Data Privacy Framework angenommen. Die Abgeordneten teilen die Bedenken des EDPS und sind besorgt, dass der Angemessenheitsbeschluss vor dem EuGH scheitern könnte, wenn die Empfehlungen der Resolution nicht umgesetzt werden.
• Österreich/Frankreich: Die österreichische Datenschutzbehörde hat in ihrem Prüfverfahren gegen das Unternehmen Clearview AI mehrere Verstöße gegen die DSGVO festgestellt. Unter anderem befand die Behörde, dass Clearview sich bei der Sammlung von Daten zur Gesichtserkennung aus öffentlichen Quellen nicht auf ein berechtigtes Interesse berufen kann. Das Unternehmen wurde daher zur Löschung der personenbezogenen Daten aufgefordert. Ein Bußgeld wurde nicht verhängt. Die französische Datenschutzaufsicht verhängte unterdessen ein Bußgeld in Höhe von 5,2 Millionen Euro gegen Clearview, weil das Unternehmen einer Anordnung der Behörde nicht nachgekommen war.

Aktuelle Gerichtsentscheidungen

• LG Essen, Urteil vom 02.06.2022, Az. 1 O 272/21 (Volltext): Der Fehlversand von Impfdaten an über 700 Personen durch ein Impfzentrum rechtfertigt einen immateriellen Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 100 Euro.
• LAG Nürnberg, Beschluss vom 13.03.2023, Az. 2 Ta 18/23 (juris): Für den Auskunftsanspruch nach Art. 15 DSGVO ist regelmäßig ein Streitwert von 500 Euro festzusetzen.
• LG Oldenburg, Urteil vom 22.03.2023, Az. 5 O 1809/22 (juris): Kein Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook, da der Anspruchsteller seine Betroffenheit nicht bewiesen hat.
• LG Köln, Urteil vom 23.03.2023, Az. 33 O 376/22 (Volltext): Unzulässige Übermittlung von personenbezogenen Daten an Google-Server in die USA – nicht rechtskräftig.
• LAG Sachsen, Urteil vom 31.03.2023, Az. 4 Sa 117/21 (juris): Nach Beendigung des Arbeitsverhältnisses besteht kein Rechtsschutzinteresse für die Entfernung einer Abmahnung aus der Personalakte. Art. 17 DSGVO hat zu keiner Änderung der Rechtsprechung geführt.
• LG Dresden, Urteil vom 19.04.2023, Az. 8 O 1125/22 (juris): Bei der Frage, wann die Ausübung eines Betroffenenrechts rechtsmissbräuchlich ist, ist auch der Schutzzweck der DSGVO zu berücksichtigen.
• OVG des Saarlandes, Urteil vom 20.04.2023, Az. 2 A 111/22 (Volltext): Telefonische Werbung kann nicht auf Art. 6 I lit. f DSGVO gestützt werden. Es besteht kein Unterschied zwischen Direkt- und Nachfragewerbung. § 7 II Nr. 1 UWG ist auch im Datenschutz zu berücksichtigen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Nordrhein-Westfalen: „LDI NRW kann Beschäftigte öffentlicher Stellen mit Bußgeld belegen“ – nicht datiert
• Datenschutzaufsicht Schleswig-Holstein: „Konferenz der unabhängigen Datenschutzaufsichtsbehörden tagt zum 105. Mal“ – Pressemitteilung vom 09.05.2023
• Datenschutzaufsicht Sachsen-Anhalt: „Landesbeauftragter prüft fachliche Voraussetzungen von Kandidatinnen und Kandidaten der Landtagsfraktionen für das Amt des Landesbeauftragten für den Datenschutz“ – Pressemitteilung vom 09.05.2023
• Datenschutzkonferenz: „105. Tagung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden: Beschäftigtendatenschutz, KI bei der Polizei, Funkwasserzähler, Souveräne Cloud“ – Pressemitteilung vom 11.05.2023